製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
BAT/Mumu.worm.c
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4283
対応定義ファイル
(現在必要とされるバージョン)		4283 (現在7080)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名BAT.Boohoo.Worm (Symantec)
情報掲載日03/08/07
発見日(米国日付)03/07/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/18RDN/Generic....
05/18RDN/Generic....
05/18Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7080
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・BAT/Mumu.worm.cはBAT/Mumu.wormの亜種で、定義ファイル4283以降でBAT/Mumu.wormとして検出されます。BAT/Mumu.wormと同様に機能し、デフォルトのadmin共有(admin$)を介してリモートシステムに自身をコピーします。現在のユーザの認証情報、および/または簡単な管理者のパスワードを取得すると繁殖できます。バッチファイル、設定ファイル、およびアプリケーションを組み合わせて、IPアドレスのスキャン、アクセス可能なシステムへの接続とファイルのコピー、およびファイルの実行などのタスクを実行します。

・BAT/Mumu.worm.cはNetcatアプリケーションも内蔵しており、TCPポート6969にリモートシェルを作成します。

・感染したシステムのWinDir%\system32\ディレクトリに、BAT/Mumu.worm.cに関連する以下のファイルが存在します。
ワームファイル
Mumu worm hacker.bat
Mumu worm ip.bat
Mumu worm psexec.bat
Mumu worm scan.bat
Mumu worm starter.bat
Mumu worm Xecuter.bat
アプリケーション
Fire Daemon application Firedaemon.exe
イベントログを消去するアプリケーション clearlogs.exe
NTScan application ntscan.exe
HideWindow application HideRun.exe
RemoteProcessLaunch application psexec.exe
String Replace application rep.EXE
ランダムな数字を作成するアプリケーション random.exe
Iroffer application svhost.exe
Netcat application nc.exe
ServU Daemon application tmp1\drvrquery32.exe
CygwinR POSIX Emulation DLL CYGWIN1.dll
設定ファイル
NTScanアプリケーションが使用 NT-pass.dic
NTScanアプリケーションが使用 NT-user.dic
システム情報ヘッダテキスト sys.txt
システム情報ヘッダテキスト wm.txt
レジストリスクリプト regkeyadd.REG
Irofferの設定 protmp.txt
Irofferの設定 proreset.txt
Irofferの設定 tmp1\pro.gif
正規のDLLファイル tmp1\CommonDlg32.dll
Replace appの指示 rep.bat
Replace appの指示 replace.txt

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

注:BAT/Mumu.worm.cには細部の異なる亜種があるので、感染症状も異なる場合があります。

・以下のレジストリキー/値が存在します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "drvrquery32.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "HideRun.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "Xecuter.bat"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msnet
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drvmanager
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\startupdll

・TCPポート6969(netcat)およびTCPポート21(FTPサーバ)を聴取します。

・Iroffer applicationとXDCC IRC Botが、TCPポート6667に接続します。

・ 共有(C$からZ$)が存在しません。

・adminというユーザを作成してパスワードを設定し、管理者グループに追加します。

感染方法TOPへ戻る

・BAT/Mumu.worm.cは、アクセス可能な共有(ADMIN$)を介して繁殖します。NTScan applicationを使用して、ローカルのクラスAサブネット上のランダムなIPアドレスに辞書型攻撃を仕掛け、アクセス可能なIPアドレスと共有パスワードを取得します。取得した情報を使用して、ターゲットシステムに自身をコピーし、実行します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

・多くの共有ネットワークを介して繁殖するウイルスは脆弱なユーザネームやパスワードを利用します。"admin"や"administrator"などというユーザネームと、"admin"や"123456"などのパスワードを利用して辞書攻撃をかけ、administratorの権利を得ます。

・このような弱いユーザ名 / パスワードはローカルユーザーの資格を使う事が出来るようになります。これは、システムのsuper-administratorや、domain-adminがウイルスに感染すると、そのウイルスはこのシステムのすべての範囲に影響を与えることが出来るということを意味します。

・このようなワームは管理のされていない管理者共有を利用することが多いので、感染を防ぐためには、すべてのシステムの管理者共有(C$, IPC$, ADMIN$)を削除してしまうと良いでしょう。また、下記のコマンドが含まれたシンプルなバッチファイルをログオンスクリプトから実行したり、スタートアップフォルダに配置することも役に立つでしょう。

  • net share c$ /delete
  • net share d$ /delete
  • net share e$ /delete
  • net share ipc$ /delete
  • net share admin$ /delete